Zalecenia dotyczące bezpiecznego tworzenia struktury projektów w potoku
Azure DevOps Services | Azure DevOps Server 2022 r. | Azure DevOps Server 2020 r.
Poza skalą poszczególnych zasobów należy również rozważyć grupy zasobów. W usłudze Azure DevOps zasoby są grupowane według projektów zespołowych. Ważne jest, aby zrozumieć, do jakich zasobów potok może uzyskiwać dostęp na podstawie ustawień projektu i ich zawierania.
Każde zadanie w potoku otrzymuje token dostępu. Ten token ma uprawnienia do odczytywania otwartych zasobów. W niektórych przypadkach potoki mogą również aktualizować te zasoby. Innymi słowy, konto użytkownika może nie mieć dostępu do określonego zasobu, ale skrypty i zadania uruchamiane w potoku mogą mieć dostęp do tego zasobu. Model zabezpieczeń w usłudze Azure DevOps umożliwia również dostęp do tych zasobów z innych projektów w organizacji. Jeśli zdecydujesz się wyłączyć dostęp potoku do niektórych z tych zasobów, decyzja ma zastosowanie do wszystkich potoków w projekcie. Nie można udzielić określonego potoku dostępu do otwartego zasobu.
Oddzielne projekty
Biorąc pod uwagę charakter otwartych zasobów, należy rozważyć zarządzanie każdym produktem i zespołem w osobnym projekcie. Dzięki temu potok z jednego produktu nie może uzyskać dostępu do otwartych zasobów z innego produktu. W ten sposób zapobiegasz ekspozycji bocznej. Gdy wiele zespołów lub produktów współużytkuje projekt, nie można szczegółowo odizolować zasobów od siebie.
Jeśli organizacja usługi Azure DevOps została utworzona przed sierpniem 2019 r., przebiegi mogą mieć dostęp do otwartych zasobów we wszystkich projektach organizacji. Administrator organizacji musi przejrzeć ustawienie zabezpieczeń klucza w usłudze Azure Pipelines, które umożliwia izolację projektu dla potoków. To ustawienie można znaleźć w obszarzeUstawienia> organizacji usługi Azure DevOps>Ustawieniapotoków>. Możesz też przejść bezpośrednio do tej lokalizacji usługi Azure DevOps: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.
Następne kroki
Po skonfigurowaniu odpowiedniej struktury projektu zwiększ bezpieczeństwo środowiska uruchomieniowego przy użyciu szablonów.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla